信息安全技術 信息安全服務能力評估準則-編制說明

DOCPROPERTYSubject《信息安全服務能力評估準則》編制情況說明SUBJECT《信息安全服務能力評估準則》

編制情況說明文檔編號：SCEM-DOCPROPERTY"文檔編號"001版本：DOCPROPERTY"版本"1.2秘級說明本文檔包含的信息不得以任何形式泄露給除<對方單位>以外的任何人員2012年07月

-內部文件內容概述

文件編號SCEM-001版本編號1.2PagePAGE2ofNUMPAGES13發(fā)布日期TIME\@"yyyy-MM-dd"2023-10-19咨詢單位@DOCPROPERTYCompanyCNITSECDOCPROPERTY密級內部文件編制背景在我國提出的“五年基本建成我國信息安全保障體系”的目標中，信息安全服務能力的管理是其中的重要舉措之一，是國家將信息安全管理意志落實為信息安全管理要求的表現(xiàn)。目前，我國的信息安全服務尚處于成長階段，市場格局相對混亂，信息安全服務商在規(guī)模、環(huán)境資源、人員素質、技術能力，服務質量等方面存在著明顯的差異，加上各種信息安全服務概念之間的模糊，服務商之間的競爭關系和能力評估更是一個難解的問題，這使得信息安全服務的采購方在選擇符合國家規(guī)定又適合自身需求的信息安全服務提供商方面存在一定的困難性。另一方面，如何評價信息安全服務提供商提供的基本標準化服務的有效性，其服務能否滿足信息安全服務采購方的需求，以及信息安全服務提供商各自擅長何種信息安全服務內容等，都是目前有待解決的問題。中國信息安全測評中心在國家信息安全管理部門的指導思想的指引下，充分調查和研究國內外信息安全服務的狀況，針對我國信息安全服務的水平，結合已有工作的實際經(jīng)驗基礎上，編制了《信息安全服務能力評估準則》，旨在為評定信息安全服務能力提供科學、規(guī)范的指導。編制原則（1）立足于我國當前信息化建設現(xiàn)狀，對我國信息系統(tǒng)安全服務進行調研，注重吸納國外相關領域的先進成果并為我所用，使其本土化。（2）可操作性和實用性。標準是對實際工作的總結與提升，但最終還要用于實踐，要經(jīng)得起實踐的檢驗。因此要可用，可操作。（3）注重吸收信息安全服務方面已有的經(jīng)驗與成果。如信息系統(tǒng)風險評估、等級保護、ISO20000等標準。（4）科學性與先進性。所提供的方法要可信，要具有引領的作用。編制思路本標準的編制從信息安全服務本身的特殊性出發(fā)，本著對信息安全服務的咨詢、工程和運維的實用性原則，參考國內外與服務能力評價相關的標準和最佳實踐成果來制定信息安全服務能力評價的指標體系。參考IT治理Cobit框架模型本標準的編制參考了當前國際上公認的IT治理的Cobit框架模型。Cobit框架將信息的業(yè)務要求與IT服務職能的治理目標緊密結合起來。Cobit流程模型基于控制目標促進IT活動及其資源的適當管理和控制，并協(xié)調、監(jiān)控Cobit目標和衡量指標的使用。該模型分為四個域，分別是（1）計劃與組織；（2）獲取與實施；（3）交付與支持；（4）監(jiān)控與評價，站在組織高層的角度，以業(yè)務為中心，以流程為導向，以控制為基礎，以測評為驅動，進行組織IT治理。圖1Cobit框架模型本標準借鑒Cobit框架模型IT治理四個域觀點，結合PDCA質量管理模型，從組織信息安全治理角度，根據(jù)用戶（服務采購方）的信息安全過程，確定信息安全服務涵蓋的各項活動，闡述各活動的目標和具體內容、工作產(chǎn)品。信息安全服務過程模型如下:圖2信息安全服務過程模型通過明確信息安全組織架構，建立信息安全管理體系，指導信息系統(tǒng)規(guī)劃與設計、實施與交付、監(jiān)視與支持各階段信息安全工作，并建立檢查與改進機制，以不斷的提升信息安全建設水平。參考安全工程能力成熟度模型SSE-CMM和服務過程能力成熟度模型CMMI本標準的編制借鑒了國際上公認的能力成熟度標準SSE-CMM和CMMI，重點采用了其能力級別和成熟度等級思想。SSE-CMM將實施活動劃分為公共特征，公共特征分為五個“能力級別”，表示依次增加的組織能力。每個公共特征表示為取得每一個級別需滿足的成熟安全工程屬性。圖3代表安全工程組織能力級別的成熟度CMMI雖然具有連續(xù)式和階段式兩種改善服務質量的方式，但是等級的概念是相同的。為達到一個特定等級，組織必須滿足一個流程領域或一組流程領域中所有適當?shù)哪繕?。ProcessAreaCategoryMaturityLevelCapacityandAvailabilityManagement(CAM)ProjectManagement3CausalAnalysisandResolution(CAR)Support5ConfigurationManagement(CM)Support2DecisionAnalysisandResolution(DAR)Support3IntegratedProjectManagement(IPM)ProjectManagement3IncidentResolutionandPrevention(IRP)ServiceEstablishmentandDelivery3MeasurementandAnalysis(MA)Support2圖4流程領域清單與其相關的類別及成熟度等級參考國際IT服務管理最佳實踐ITIL及國際標準ISO20000圖5ITILV3服務生命周期示意圖內容簡介《信息安全服務能力評估準則》的文檔框架如下圖所示，主要包括：范圍、規(guī)范性引用文件、術語和定義、概述、信息安全服務過程、信息安全服務能力級別和附錄共7部分組成。信息安全服務能力評估準則信息安全服務能力評估準則方法范圍規(guī)范性引用文件術語和定義信息安全服務過程信息安全服務能力級別附錄概述圖6《信息安全服務能力評估準則》文檔框架第1章，首先介紹標準的范圍，說明本標準的編制目的、目標讀者和適用范圍等內容。第2、3章，分別說明本標準的規(guī)范性引用文件、術語和定義。第4章，文檔結構，信息安全服務過程模型和能力評定原則。第5章，信息安全服務過程，將信息安全服務分為組織與管理、規(guī)劃與設計、實施與交付、監(jiān)視與支持、檢查與改進5個過程域。第6章，信息安全服務能力級別，將信息安全服務能力級分為基本執(zhí)行級、計劃跟蹤級、充分定義級、量化控制級、連續(xù)改進級5個服務能力級別，并針對每個服務能力級定義相應的公共特征（CF）。附錄，資料性附錄，信息安全服務類型介紹。編制過程說明為了推動信息安全服務工作的進展，中國信息安全測評中心工作人員在中心內部立項開始進行有關信息安全評估標準和方法的研究工作，于2007年4月形成了《信息安全服務能力評估準則（草案）》。2007年9月，經(jīng)全國信息安全標準化委員會專家評審通過，《信息安全服務能力評估準則》標準編制項目正式立項。標準編制任務下達后，中國信息安全測評中心組織相關技術人員立即成立了標準編制小組，正式啟動《信息安全服務能力評估準則》編制工作，并于2008年3月形成第一稿。2008年4月對第一稿進行了修改，形成第二稿。2008年8月對第二稿進行了修改，形成第三稿。2009年3月，經(jīng)國家信息安全標準委員會評審，修改后形成《信息安全服務能力評估準則（征求意見稿）》第一版，2010年4月，經(jīng)國家信息安全標準委員會評審，修改后形成《信息安全服務能力評估準則（征求意見稿）》第二版。2011年7月，標準編制小組封閉，引入CMMI思路，對本標準征求意見稿進行修改。2012年3月，標準編制小組再次進行封閉，對術語與定義、信息安全服務過程各活動項進行梳理和完善，增加概述一章，同時對信息安全服務能力級別進行了細化補充，以指導該標準的正確使用?！缎畔踩漳芰υu估準則》的編制主要經(jīng)歷了如下4個階段：前期準備階段這一階段的主要任務是：討論標準文本的內容、收集國內外相關資料、商定標準編制進度安排和編制小組人員安排及其它相關準備工作。提綱編制階段這一階段的主要任務是：組織小組成員討論標準的編制提綱，商定此次標準應涉及的內容與范圍。討論核心方法與基本觀點，在基于多方共識的基礎上擬定編制提綱。任務細化階段這一階段的主要任務是：按照擬定的提綱根據(jù)小組成員的各自特點與專長進行編制任務的劃分，在充分準備之后請各位成員進行主題發(fā)言，同時也根據(jù)實際工作經(jīng)驗對指南的其它部分提出自己的意見與建議。具體實施階段這一階段的主要任務是：經(jīng)過多輪的討論，對標準文本進行整合和改進，對文本結構和行文語句做了大量修改工作，完善標準文本，補充配套材料。TOC\o"1-3"第1章編制背景 1第2章編制原則 2第3章編制思路 3第